来源:名易软件灾难恢复计划涉及内容 如果有什么事情会发生,这个事情又不是你所期望发生的,那么,这个事情往往就会发生。这话听起来有点绕口,换个更容易理解的说法——“狼早晚会来”。这个“狼”,在IT领域就是信息系统的灾难事故(事件)。这就引出一个有趣的话题——在享受信息技术的便利与收益之时,你得做好被狼咬上一口,迅速出手打狼的准备。 又有多少朋友作了这个准备呢?以笔者所在行业内看,相当比例的单位迄未想到这个问题,有些单位制定了一些粗线条的制度,诸如“某某应急预案”,也是锁在个别领导或IT主管的抽屉里。其他行业又当如何?不及前,一家知名信息安全公司做了一个调查,相当比例的企业没有建立自己的信息系统灾难恢复计划,在这些企业中,44%的单位经历过一次重大故障或灾难,更有26%的企业经历过两次以上,11%的单位经历三以上,那些制定了信息系统灾难恢复计划的单位,也有大部徒有其表。由此看来,这个打狼的话题不仅有趣,还透着几分沉重。 是考虑制定一个灾难恢复计划的时候了 此前,笔者曾撰文探讨信息系统安全策略问题。如果说此前关注的焦点是如何筑牢篱笆,防止羊被狼叼去。那么,今天,当我们认识到篱笆扎得再密集也有疏漏,狼早晚得坏我们的事,目睹了如此多的信息系统灾难,亲历了一次又一次重大的自然灾难与信息系统灾难,品尝到那份损失、慌乱与痛苦,问题的焦点就自然而然地转到——如何亡羊补牢、减少损失,即如何制定一个灾难恢复计划并有效地实施它,使我们在灾难来临之际,稳住阵脚,以合理的对策及时止损,尽早从灾难中缓过神来。 灾难恢复计划涉及内容 1、影响分析 我们很自然地想到信息系统灾难对业务的影响。实际上,灾难的影响远不止于此。它还包括对相关群体与个体的心理、情绪与利益的影响,包括对企事业单位的公共形象的影响。对那些涉及国计民生的公共安全、政府部门及其他关键领域的信息系统,还要考虑其对经济社会安全诸方面的影响。 这次波及中国乳品全行业的食品安全危机暴发后,三鹿乳品集团公司网站系统一度被黑客攻破,其主页被人篡改。对局外人而言,这也许是个花絮,但是,对此前还积极筹备上市融资、如今陷入严重危机的这家企业而言,这个信息系统的灾难,无异于雪上加霜,企业形象扫地,成了人们痛恨与嘲弄的对象。 美国国防部的官员对此当有更切身的体会。其信息系统被来自世界各地的好事者多次攻破,敏感信息屡被窃取,不仅影响了其正常运转,也使美国国防部多次蒙羞。甚至有人质疑,以这样的官僚机构,连自身都难保,怎能保障美国公民的安全? 2、谁最关键 通过影响分析,可以确定信息系统灾难对业务及企事业单位的影响程度,可以帮助我们分出轻重缓急,确定那些需要优先恢复与保障的服务与项目,也可以确定从哪里着手,减轻灾难损失。 3、数据保全 数据是维系信息系统运行的基本要素,也是招致信息系统灾难的重要因素。数据保全,包括借助合理的备份策略,使数据在遭受攻击或破坏时,能够最大限度、尽快恢复,还包括隔离或阻止攻击及非法调用,制止数据滥用,以维系信息系统运转,维护当事人、企事业单位甚至国家的权益。 4、恢复运行 针对灾难类别,研究形成的应对方法和处置步骤,使信息系统尽快恢复运行。恢复运行不是灾难恢复的唯一目标,但是,它是灾难恢复的重要目标之一,以此相关的灾难恢复方法和步骤是灾难恢复计划的一项重点内容。 5、灾难评估 灾难评估与影响分析不同。影响分析带有设想的成分,灾难评估则是针对一起具体的灾难,从不同方面,对其负面结果进行定性或定量的评估。其主要目的,一是有利于恢复阶段采取正确的措施。二是确定损失,做好善后工作。三是分析导致灾难的原因,查摆堵塞漏洞,落实奖惩,以利再战。 6、相关人员 谈信息系统灾难恢复计划,我们不难想到负责技术的人员。其实,在这个计划里,还涉及信息系统相关的各类业务人员及管理层,甚至包括企业的客户以及普通公民。凡是与信息系统存在关联的部门、人士,都在灾难恢复计划考虑之列。系统正常维护期及出现灾难后,要知道该找谁,不同部门、岗位的人员该怎样站位,结成一个共同应对灾难的集体,分兵把守,将灾难负面影响降至最低,使信息系统尽快恢复运行,各项业务尽快步入正轨。
信息发布:广州名易软件有限公司 http://www.myidp.net
|